補充說明

一、 新增適用控制措施 1. 原規範為刪除之控制措施

控制項 原規

範 ISO 27001:

2005

適用單位

C B A A.7.1.1 篩選 對所有可能被聘用者所進行之背景調查，應依照相

關法律、法規及倫理， 並應相稱於營運要求及其將 存取之資訊保密等級及組織所察覺之風險聘用。

A.7.1.2 V V

A.7.1.2 聘用條款及條件 施行單位與員工及承包者簽訂之契約化協議書，應 敘明雙方對資訊安全的責任。

A.7.1.3 V V V

A.8.3.3 實體媒體傳送 應保護含有資訊之媒體在傳送時，不受未經授權的 存取、誤用或毀損。

A.10.8.3 V V

A.9.1.1 (I/P)

存取控制政策 存取控制政策應依據營運及資訊安全要求事項，建 立、文件化及審查之。

A.11.1.1 V V

A.9.3.1 (I/P)

秘密鑑別資訊之 使用

於使用秘密鑑別資訊時，應要求使用者遵循施行單 位之實務規定。

A.11.3.1 V V V

適用說明

A.7.1.1 篩選

原規範因鑒於施行單位在人員篩選上的實行度相當低，故將此項刪除，以簽訂完善之保 密條款代替。然因個人資料保護法與法令法規施行與資訊安全要求應評估其能力與背景 適用程度，施行單位仍須因應對其人員與委外廠商人員進行適當評估，故建議納入本控 制項。

A.7.1.2 聘用條款及條件

原規範以保密協議或條款涵蓋資訊安全責任，將 A.6.1.5 保密協議與 A.8.1.3 聘用條件與 限制合併，ISO 27001:2013 版，原 A.6.1.5 保密協議改為 A.13.2.4 機密性或保密協議，

應識別、定期審查及文件化，以反映施行單位對資訊保護之需要的機密性或保密協議之 要求事項。以資訊傳輸之保密要求事項為主，未完全包含 A.7.1.2 聘用條款及條件中要 求施行單位與員工及承包者簽訂之契約化協議書，應敘明雙方對資訊安全的責任。故建 議納入所有等級之控制措施。

A.8.3.3 實體媒體傳送

原規範以「一般施行單位鮮少有運送重要儲存媒體之情事，加上存取控制，應無未授權 侵入之可能；若為移動式儲存媒體，亦有限制未授權存取的規定，無須特地規範運送安 全之條款。」刪除本控制項，然現今異地備份需求與利用儲存媒體進行資訊傳輸作業日 益頻繁，其媒體管制與保護的要求已逐漸成為施行單位必要措施，故建議將此控制項納

入。

A.9.1.1 存取控制政策

原規範說明因「有關存取控制的各個管理措施，在存取控制安全的其他項目皆有規範，

因此將此兩項屬原則性質之內容，修改為存取控制安全的釋句，不作為獨立的規範」而 刪除本控制項，然以各施行單位於各項存取控制措施規劃時，均須依據單位資訊資產存 取控制原則規劃，為免各承辦人員對於存取管理產生標準不一致狀況，建議重新納入本 控制項。

A.9.3.1 秘密鑑別資訊之使用

原規範說明「此部份與系統管理者於管理使用者通行碼的內容相同，由於多數限制設定 可由系統功能上完成，因此將此項刪除。」然有關使用者對於秘密鑑別資訊之使用，仍 由其保管與維護之要求，且上級機關對於如通行碼等秘密鑑別資訊均有使用者設定或保 管的要求，故建議仍列入控制項。

2. ISO 27001:2013 新增或修訂後納入之控制措施

控制項 原規範 ISO

27001:

2005

適用單位

C B A A.14.2.5 保全系統工程原則 保全系統之工程原則，應予建立、文件化、

維持及應用於所有資訊系統實作工作。

A.12.2.1 A.12.2.2 A.12.2.3 A.12.2.4 A.12.5.4

A.12.2.1 A.12.2.2 A.12.2.3 A.12.2.4 A.12.5.4

V V

A.15.1.1 (I/P)

供應者關係之資訊 安全政策

應與供應者議定並文件化，降低與供應者 存取施行單位資產關聯之風險的資訊安全 要求事項。

V V

A.16.1.4 (I/P)

資訊安全事件評估 及決策

應評鑑資訊安全事件，並決定是否將其歸 類為資訊安全事故。

V V V

A.16.1.5 (I/P)

對資訊安全事故之 回應

應依文件化程序，回應資訊安全事故。 V V V

A.17.2.1 資訊設備之可用性 應對資訊處理設施實作充分之多重備援，

以符合可用性要求。

V V

適用說明

A.14.2.5 保全系統工程原則

ISO 27001:2013 標準條文將系統發展條文中較為技術性的要求如 A.12.2.1 資料輸入之驗

證、A.12.2.2 系統內部作業處理之驗證、A.12.2.3 訊息真確性之鑑別、A.12.2.4 資料輸 出控管與 A.12.5.4 資訊洩漏控制等控制措施加以合併，並調整為由施行單位依據資訊應 用系統特性規劃適用的系統設計工程原則，本項控制措施因相關控制措施原已適用於第 一學群，建議加已納入。

A.15.1.1 供應者關係之資訊安全政策

由於近年來委由供應商進行資訊服務提供的情況越來越普及，且個人資料保護法等相關 法規要求將委外管理納入監督，因此除對供應商說明資訊安全要求外，更應考量列入契 約規範以強化資訊安全要求的強制性與監督的正當性，本控制項要求：「應與供應者議 定並文件化，降低與供應者存取施行單位資產關聯之風險的資訊安全要求事項。」符合 現有需求，故建議納入新增控制項。

A.16.1.4 資訊安全事件評估及決策

資訊安全事件之因應因先針對資訊安全事件狀態與等級進行評估後，才能給予適當的回 應，且教育部資通安全處理小組作業說明柒.資安事件影響等級及資安通報應變處理流 程，已針對資訊安全事件劃分等級與處理順序，因此建議配合實際作業，納入本控制項。

A.16.1.5 對資訊安全事故之回應

教育部資通安全處理小組作業說明柒.資安事件影響等級及資安通報應變處理流程，已 說明各單位對資訊安全事故之回應，且已經施行，故建議納入本控制項，以符實際狀況。

A.17.2.1 資訊設備之可用性

各單位對於資訊處理設備的營運持續計畫，大多以配合可用性的要求進行備援或備份措 施的規劃，符合以本控制項應對資訊處理設施實作充分之多重備援，以符合可用性要 求。故建議納入本控制項。

3. B 級單位「高」等級資訊系統應納入之控制措施

控制項 原規範 ISO 27001:

2005

適用單位

C B A

A.14.1.3 保護應用服務交易

應保護應用服務交易中涉及之資訊， 以 防 止 不 完 整 的 傳 輸 、 誤 選 路

（mis-routing），未經授權之訊息修改、未 經授權之揭露、未經授權之訊息複製或重 演。

A.10.9.2 V

A.14.2.1

保全開發政策 應建立軟體及系統開發之規則，並應用至

施行單位內之開發。 V

A.14.2.6 保全開發環境

對涵蓋整個系統開發生命周期之系統開 發及整合工作，施行單位應建立並適切地 保護安全開發環境。

V

A.14.2.8 系統安全測試 於開發中，應實施安全功能之測試。 V

A.15.1.3 (I/P)

資訊及通訊技術供 應鏈

與供應者之協議，應包含因應與資訊及通 訊技術服務及產品供應鏈關聯之資訊安 全風險。

V

適用說明

A.14.1.3 保護應用服務交易

原規範認為 ISO 27001:2005 版標準有關線上交易之控制項，屬於電子商務的一環，且 由應用系統的角度來看，電子商務可歸屬於此範圍中，另外連線單位尤其學校鮮少有類 似的業務發生，予以刪除。然 ISO 27001:2013 版標準將本控制項改為保護應用服務交 易，所指為對外應用服務交易的資訊安全，「高」安全等級資訊應用系統資料多為敏感 或機密性資料，對外進行資訊交易或傳輸必須確保不會發生不完整的傳輸、誤選路

（mis-routing），未經授權之訊息修改、未經授權之揭露、未經授權之訊息複製或重演 等資安事故，故建議納入本控制項，已進行應用服務交易保護的安全規格分析。

A.14.2.1 保全開發政策/A.14.2.6 保全開發環境/A.14.2.8 系統安全測試

此三項為 ISO 27001:2013 版新增控制措施，用以確保資訊應用系統於發展階段起即獲 得安全保障，雖以現有教育體系承辦人員與開發環境勢必需要加以規劃與安排才能完成 此三項控制措施，但就資訊安全風險而言，「高」安全等級資訊應用系統多處理敏感或 機密性資料，需要確認該應用系統各發展階段的安全性，因此建議將此三項控制措施配 合「高」安全等級資訊應用系統，以資訊應用系統適用方式納入適用控制措施。

A.15.1.3 資訊及通訊技術供應鏈

此項為 ISO 27001:2013 版新增控制措施，用以確認與供應者協議中，納入資訊及通訊 技術服務及產品供應鏈關聯之資訊安全風險的因應責任與控制措施。由於近來資訊及通 訊產品與技術以供應鏈方式的產品與服務提供已是常態，且個人資料保護法等相關法規 中有關委外管理已將分包商、技術原廠、產品零組件供應商等複委託廠商納入監督要 求，因此本項控制措施有其執行必要性，然考量教育體系各機構與學校的特性，本項控 制措施尚待發展，因此由 A 級單位與「高」安全等級資訊系統之 B 級單位優先施行，B 級單位可以限定適用於「高」安全等級資訊系統。

二、 刪除之適用控制措施

(Diagnostic Ports)存取控制

A.12.5.4 資訊洩漏控制 預防施行單位資訊遭洩漏的危機，制定適當的控管措

A.6.1.4

A.8.1.1

A.9.2.1

A.9.4.5

原始程式庫(Source Library)的 存 取必 須採 取嚴 格的控 制措

A.11.2.3 佈纜安全

A.12.2.1

(建議) 之限制 之管控規則。 (Diagnostic Ports)存取控

必要時制定正式合約。

A.14.2.4

定所有相關資訊安全要求事項。 理責任，納入契約條款。

A.17.1.1

A.18.2.1 (I/P)

資 訊 安 全 之 獨立審查

應依規劃之期間或當發生重大 變更時， 獨立審查組織對管理 資訊安全之作法及其實作（亦即 資訊安全之各項控制目標、控制 措施、政策、過程及程序）。

A.6.1.6

資 訊安 全政 策 的獨 立檢 視

機關制訂之資訊安全政策，應 進行獨立及客觀的評估。

A.18.2.2 (I/P)

安 全 政 策 及 標 準 之 遵 循 性

管理人員應以適切之資訊安全 政策、標準及其他安全要求事 項，定期審查其責任範圍內之安 全處理及程序的遵循性。

A.15.2.1

確 保遵 守安 全 政策 與規 範

確保單位內所有區域或作業流 程皆定期審查及確保遵守安全 政策及規範。

A.18.2.3 (I/P)

技 術 遵 循 性 審查

應定期審查資訊系統對組織之

資訊安全政策及標準的遵循性。 A.15.2.2

資訊安全政策及標準的遵循性。 A.15.2.2